Οι ερευνητές ασφαλείας της Microsoft ανακάλυψαν ένα νέο κακόβουλο λογισμικό backdoor που χρησιμοποιεί το OpenAI Assistants API ως κρυφό κανάλι εντολών και ελέγχου.
Η Ομάδα Ανίχνευσης και Απόκρισης (DART) της εταιρείας ανακάλυψε το νέο κακόβουλο λογισμικό, που ονομάζεται SesameOp, κατά τη διάρκεια έρευνας για μια κυβερνοεπίθεση τον Ιούλιο του 2025, η οποία αποκάλυψε ότι το κακόβουλο λογισμικό επέτρεπε στους εισβολείς να αποκτήσουν επίμονη πρόσβαση στο παραβιασμένο περιβάλλον.
Η ανάπτυξη αυτού του κακόβουλου λογισμικού επέτρεψε επίσης στους παράγοντες απειλής να διαχειρίζονται εξ αποστάσεως συσκευές με κερκόπορτα για αρκετούς μήνες αξιοποιώντας νόμιμες υπηρεσίες cloud, αντί να βασίζονται σε αποκλειστική κακόβουλη υποδομή που θα μπορούσε να ειδοποιήσει τα θύματα για επίθεση και να καταργηθεί κατά τη διάρκεια της επακόλουθης απόκρισης περιστατικού.
“Αντί να βασίζεται σε πιο παραδοσιακές μεθόδους, ο παράγοντας απειλής πίσω από αυτό το backdoor καταχράται το OpenAI ως κανάλι C2 ως τρόπο κρυφής επικοινωνίας και ενορχήστρωσης κακόβουλων δραστηριοτήτων εντός του παραβιασμένου περιβάλλοντος”, η ομάδα της Microsoft Incident Response είπε σε ρεπορτάζ της Δευτέρας.
“Για να γίνει αυτό, ένα στοιχείο του backdoor χρησιμοποιεί το OpenAI Assistants API ως μηχανισμό αποθήκευσης ή αναμετάδοσης για να ανακτήσει εντολές, τις οποίες στη συνέχεια εκτελεί το κακόβουλο λογισμικό.”
Το SesameOp backdoor χρησιμοποιεί το OpenAI Assistants API ως μηχανισμό αποθήκευσης και αναμετάδοσης για να ανακτήσει συμπιεσμένες και κρυπτογραφημένες εντολές, τις οποίες το κακόβουλο λογισμικό αποκρυπτογραφεί και εκτελεί σε μολυσμένα συστήματα. Οι πληροφορίες που συλλέγονται στις επιθέσεις κρυπτογραφούνται χρησιμοποιώντας έναν συνδυασμό συμμετρικής και ασύμμετρης κρυπτογράφησης και μεταδίδονται πίσω μέσω του ίδιου καναλιού API.
Η αλυσίδα επίθεσης που παρατήρησαν οι ερευνητές του DART περιλάμβανε έναν φορτωτή σε μεγάλο βαθμό ασαφής και μια κερκόπορτα που βασίζεται σε .NET που αναπτύχθηκε μέσω Έγχυση .NET AppDomainManager σε πολλαπλά βοηθητικά προγράμματα του Microsoft Visual Studio. Το κακόβουλο λογισμικό δημιουργεί επιμονή μέσω εσωτερικών κελύφους ιστού και «στρατηγικά τοποθετημένων» κακόβουλων διαδικασιών που έχουν σχεδιαστεί για μακροπρόθεσμες επιχειρήσεις κατασκοπείας.
Η Microsoft δηλώνει ότι το κακόβουλο λογισμικό δεν εκμεταλλεύεται μια ευπάθεια ή εσφαλμένη διαμόρφωση στην πλατφόρμα του OpenAI, αλλά μάλλον κάνει κατάχρηση των ενσωματωμένων δυνατοτήτων του Assistants API (προγραμματισμένο για κατάργηση τον Αύγουστο του 2026). Η Microsoft και το OpenAI συνεργάστηκαν για να διερευνήσουν την κατάχρηση του API από τους παράγοντες απειλής, η οποία οδήγησε στον εντοπισμό και την απενεργοποίηση του λογαριασμού και του κλειδιού API που χρησιμοποιήθηκαν στις επιθέσεις.
“Η κρυφή φύση του SesameOp είναι συνεπής με τον στόχο της επίθεσης, ο οποίος προσδιορίστηκε ως μακροπρόθεσμη εμμονή για σκοπούς κατασκοπείας”, πρόσθεσε η Microsoft.
Για να μετριάσει τον αντίκτυπο των επιθέσεων κακόβουλου λογισμικού SesameOp, η Microsoft συμβουλεύει τις ομάδες ασφαλείας να ελέγχουν τα αρχεία καταγραφής τείχους προστασίας, να ενεργοποιούν την προστασία από παραβιάσεις, να διαμορφώνουν τον εντοπισμό τελικού σημείου σε λειτουργία μπλοκ και να παρακολουθούν τις μη εξουσιοδοτημένες συνδέσεις σε εξωτερικές υπηρεσίες.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
